HackerNews 编译,转载请注明出处:
日本国家警察厅(NPA)和国家网络安全战略中心(NISC)发布安全通告,警告针对日本组织的高级持续性威胁(APT)攻击活动。
此次攻击由“MirrorFace”组织实施,该组织是 APT10 旗下的一个分支。他们利用 Windows Sandbox 和 Visual Studio Code 执行恶意操作,同时规避宿主系统上的安全检测。
攻击者使用了经过修改的开源远程访问木马(RAT)Lilith RAT,命名为 “LilimRAT”,该恶意软件专门针对 Windows Sandbox 运行环境进行优化。
Windows Sandbox 作为独立的虚拟环境,与宿主系统隔离。MirrorFace 组织正是利用这一特性,在受感染系统上保持持久性,同时减少攻击痕迹,降低被发现的可能性。
据 ITOCHU Cyber & Intelligence 研究人员分析,该恶意软件包含专门的代码,用于检测其是否运行在 Windows Sandbox 中。它会检查 WDAGUtilityAccount 用户文件夹的存在,这是 Windows Sandbox 默认的用户配置。
如果 WDAGUtilityAccount 文件夹未被检测到,恶意软件会立即终止运行。代码示例如下:
FileAttributesA = GetFileAttributesA(“C:\\Users\\WDAGUtilityAccount”);
if (FileAttributesA != -1 && (FileAttributesA & 0x10) != 0)
{
c_GetModuleFileNameA();
c_WSAStartup();
v29 = 1;
// 其他初始化代码
}
攻击者首先在目标系统上启用 Windows Sandbox(默认情况下该功能是禁用的),并创建自定义的 Windows Sandbox 配置文件(WSB)。然后,在这个隔离环境中执行恶意软件,以避免安全工具的检测。
完整的攻击流程包括:
- 在受感染主机上放置三个关键文件:
- 批处理脚本(.bat)压缩工具包含恶意软件的存档文件
- 启用网络连接在宿主系统和沙箱之间共享文件夹设定在 Windows Sandbox 启动时自动执行命令
WSB 配置示例如下:
<Configuration>
<Networking>Enable</Networking>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\{Host-side folder}</HostFolder>
<SandboxFolder>C:\{Sandbox-side folder}</SandboxFolder>
<ReadOnly>false</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>C:\{Sandbox-side folder}\{random}.bat</Command>
</LogonCommand>
<MemoryInMB>1024</MemoryInMB>
</Configuration>
通过此配置,恶意软件可在 Windows Sandbox 内部运行,同时仍可访问宿主系统的文件。
如何规避安全检测
攻击者利用批处理脚本解压存档文件,并创建计划任务以执行恶意软件。随后,恶意软件通过 Tor 网络 连接到命令与控制(C2)服务器,以隐藏其活动轨迹。
这次攻击的隐蔽性极高,原因如下:
- Windows Defender 在 Windows Sandbox 内默认关闭,使攻击者能够在无安全防护的环境中自由活动。若 Windows Sandbox 由计划任务在 SYSTEM 权限下启动,则不会显示窗口,进一步降低了被检测的可能性。
安全专家建议
安全专家建议采取以下防护措施,以减少遭受类似攻击的风险:
- 禁用 Windows Sandbox,除非确有必要启用。监控相关进程,尤其是 Windows Sandbox 的活动情况。限制管理员权限,防止攻击者利用高权限启用 Windows Sandbox。实施 AppLocker 策略,防止未经授权的 Windows Sandbox 执行,以提高企业环境的安全性。
此次攻击表明,攻击者正在不断创新利用 Windows 内置功能进行隐蔽渗透,安全团队需及时更新防护策略,以应对新兴威胁。
消息来源:Cybersecurity News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
